Tổng quan IKE (Internet Key Exchange)

1 – Giới thiệu về IKE.

            ISAKMP không xác định một khóa trao đổi. Nó là để cho các giao thức khác. Cho IPSec cần xác định khóa trao đổi là IKE – Trao đổi khóa trên mạng công cộng. IKE sử dụng ngôn ngữ của ISAKMP để xác định khóa trao đổi và cách để điều đình các dịch vụ an ninh. IKE thực sự xác định số lượng các trao đổi và các tùy chọn có thể được áp dụng cho trao đổi. Kết quả của trao đổi IKE là xác thực được khóa và đồng ý – nhờ dịch vụ an ninh – nói một cách khác, một hiệp hội an ninh IPSec.

2 – Sự trao đổi IKE (IKE Exchanges).

            Hai chế độ trao đổi exchanges—main và Aggressive có cùng một điều : Thành lập sử bảo mật và xác thực của một kênh thông tin liên lạc (IKE SA) và xác thực khóa (key) sử dụng để cung cấp sự bảo mật, tích hợp thông báo, và xác thực nguồn thông báo tới thông tin liên lạc IKE giữa hai sự tương đương. Tất cả những sự trao đổi khác được định nghĩa trong IKE có một sự xác thực IKE SA như là một điều kiện tiên quyết. Bởi vậy nó là một bước của sự trao đổi, hoặc chế độ chính (main) hoặc chế độ Aggressive, cần phải được thực hiện trước khi có bất kỳ một trao đổi khác.

3 – Chế độ trao đổi chính của IKE (Main Mode Exchange).

            Chế độ Main sử dụng sáu thông báo, trong ba vòng truyền đi, để thiết lập các IKE SA. Ba bước dưới đây là trao đổi SA, một trao đổi Diffie-Hellman và một trao đổi của Nonces, và sự xác thực của tương đương.

4 – Chế độ trao đổi nỗ lực (Aggressive Mode Exchange).

            Mục đích của chế độ trao đổi Aggressive là giống như chế độ trao đổi main – việc thành lập một hiệp hội an ninh xác thực, và những khóa (key), mà IKE có thể được sử dụng để thiết lập các hiệp hội an ninh bảo vệ an ninh cho các giao thức. Sự khác biệt chính là chế độ Aggressive chỉ dùng bằng một nửa số thông báo như ở chế độ main. Bằng cách hạn chế số lượng thông báo, chế độ Aggressive cũng giới hạn quyền trao đổi của nó và cũng không cung cấp bảo vệ danh tính (identity).

5 – Chế độ trao đổi nhanh (Quick Mode Exchange).

            Sau khi một IKE SA được thành lập, thông qua chế độ Main hoặc Aggressive, nó có thể được sử dụng để tạo ra SAs cho an ninh các giao thức khác như IPSec. Các SAs được thành lập thông qua chế độ trao đổi nhanh. Chế độ trao đổi nhanh được thực hiện dưới sự bảo về của một IKE SA được thành lập trước đó. Nhiều chế độ nhanh có thể được thực hiện cùng với một chế độ main hoặc Aggressive. Trong thực tế, việc thực hiện nhiều chế độ nhanh có thể được thực hiện dưới sự bảo vệ của một IKE SA.

6 – Chế độ trao đổi khác (Other IKE Exchanges).

            Tất cả những trao đổi được mô tả trong IKE cho đến nay đều tạo ra SAs – Đó là một trong những giai đoạn tạo ra IKE SA và hai giai đoạn tạo ra IPSec SAs. Hai định nghĩa IKE trao đổi khác cung cấp cho sự bảo trợ của IKE SA và cho sự điều đình của các nhóm riêng tư Diffie-Hellman.